{"id":933,"date":"2020-07-08T16:19:07","date_gmt":"2020-07-08T14:19:07","guid":{"rendered":"https:\/\/www.semsin.es\/web\/?p=933"},"modified":"2020-07-08T16:22:23","modified_gmt":"2020-07-08T14:22:23","slug":"factura-de-venta-nuevo-caso-de-malware-que-roba-informacion","status":"publish","type":"post","link":"https:\/\/www.semsin.es\/web\/factura-de-venta-nuevo-caso-de-malware-que-roba-informacion\/","title":{"rendered":"\u201cFACTURA DE VENTA\u201d NUEVO CASO DE MALWARE QUE ROBA INFORMACI\u00d3N"},"content":{"rendered":"

El env\u00edo de correos electr\u00f3nicos con supuestas facturas es una t\u00e9cnica que llevamos observando desde hace meses y que est\u00e1 siendo utilizada por desarrolladores de malware de todo tipo. Desde falsas facturas que suplantan a\u00a0empresas el\u00e9ctricas<\/a>\u00a0o\u00a0aseguradoras<\/a>\u00a0para propagar troyanos bancarios hasta\u00a0facturas<\/a>\u00a0y\u00a0cobros<\/a>\u00a0de supuestos proveedores y clientes o la suplantaci\u00f3n de\u00a0entidades bancarias<\/a>\u00a0para propagar spyware y herramientas de control remoto.<\/p>\n

<\/p>\n

La factura de julio<\/strong><\/p>\n

Con estos precedentes en meses anteriores, no era de extra\u00f1ar que en julio volvi\u00e9ramos a ver como los delincuentes utilizaban esta estrategia para tratar de conseguir nuevas v\u00edctimas. As\u00ed pues, durante la ma\u00f1ana de hoy hemos detectado un correo remitido desde un email perteneciente a una empresa espa\u00f1ola, email que adjuntaba un archivo malicioso y que es detectado por las soluciones de seguridad de ESET como una variante del troyano Win32\/Injector.EMOP.<\/p>\n

Tras recuperar el archivo eliminado por el antivirus nos encontramos ante un fichero comprimido de nombre \u201cFACTURA DE VENTA.rar.tar\u201d. Este archivo contiene a su vez el archivo ejecutable \u201cFACTURA DE VENTA.exe\u201d, causante de la cadena de infecci\u00f3n en el sistema que lo ejecute.<\/p>\n

Cabe destacar que, si bien muchos usuarios no tienen activada la opci\u00f3n de visualizar la extensi\u00f3n de los ficheros, el icono de este archivo tampoco intenta simular a los que representan documentos en formatos de uso com\u00fan como PDF, Excel o Word. Esta ser\u00eda una se\u00f1al de alerta que podr\u00eda evitar que un usuario intentase abrir el fichero en el caso de que se fijase en este punto.<\/p>\n

\"\"<\/strong><\/p>\n

 <\/p>\n

 <\/p>\n

Infecci\u00f3n y robo de informaci\u00f3n<\/strong><\/p>\n

Como en muchos de los casos analizados anteriormente en este blog, la ejecuci\u00f3n del archivo que contiene el c\u00f3digo malicioso realiza una serie de acciones en el sistema que buscan obtener informaci\u00f3n sensible como credenciales de acceso a servicios online almacenadas en navegadores como Chrome, Edge, Firefox, Brave, Opera y una larga lista m\u00e1s.<\/p>\n

Adem\u00e1s, tambi\u00e9n viene siento habitual que los atacantes ejecuten el comando \u201cnetsh wlan show profile\u201d para mostrar las conexiones a las redes WiFi que se han realizado desde ese equipo y, seguidamente, obtener las contrase\u00f1as a estas redes. Posiblemente, este comportamiento se haga pensando en realizar movimientos laterales dentro de una empresa y as\u00ed tratar de comprometer m\u00e1quinas con informaci\u00f3n m\u00e1s interesante para los atacantes.<\/p>\n

El proceso de inyecci\u00f3n sigue la cadena habitual de volcar en una carpeta temporal del disco el payload contenido en el fichero ejecutable. En esta ocasi\u00f3n, nos encontramos con la amenaza identificada por las soluciones de seguridad de ESET como MSIL Spy.Agent. En su an\u00e1lisis se observan numerosas cadenas de c\u00f3digo cifradas pero que, tras su descifrado, vuelven a desvelar que el objetivo de este malware es el robo de informaci\u00f3n, principalmente de credenciales almacenadas en los navegadores, clientes FTP y de correo.<\/p>\n

Estas credenciales robadas son, posteriormente enviadas por email a una direcci\u00f3n de correo que est\u00e1 incrustada en el c\u00f3digo del malware. Como informaci\u00f3n destacable, decir que esta direcci\u00f3n de correo pertenece, de nuevo, a otra empresa, esta vez ubicada en Portugal. En el siguiente resumen usando el esquema de la matriz ATT&CK de Mitre podemos comprobar como, definitivamente, el objetivo final de los delincuentes es el robo de informaci\u00f3n personal almacenada en el sistema.<\/p>\n

 <\/p>\n

Conclusi\u00f3n<\/strong><\/p>\n

Nos encontramos, una vez m\u00e1s, ante un m\u00e9todo de propagaci\u00f3n que ha sido recurrente desde hace meses y que no pocos creadores de malware est\u00e1n aprovechando. Esto significa que las continuas campa\u00f1as de correos maliciosos adjuntando o proporcionando enlaces a supuestas facturas est\u00e1n teniendo \u00e9xito, al menos en Espa\u00f1a y que, por ese motivo, se siguen sucediendo de forma peri\u00f3dica.<\/p>\n

Conviene estar atentos a este tipo de correos ya que, al provenir muchas veces de empresas y usuarios leg\u00edtimos, se tiende a bajar la guardia y, si nuestra soluci\u00f3n de seguridad no detectase la amenaza, comprometer\u00edamos no solo nuestro sistema, sino que tambi\u00e9n es probable que otros equipos de la red corporativa se vieran afectados.<\/p>\n","protected":false},"excerpt":{"rendered":"

El env\u00edo de correos electr\u00f3nicos con supuestas facturas es una t\u00e9cnica que llevamos observando desde hace meses y que est\u00e1 siendo utilizada por desarrolladores de…<\/p>\n

Leer m\u00e1s<\/a><\/p>\n","protected":false},"author":1,"featured_media":935,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_mi_skip_tracking":false},"categories":[44,43,1],"tags":[104,46,105],"_links":{"self":[{"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/posts\/933"}],"collection":[{"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/comments?post=933"}],"version-history":[{"count":0,"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/posts\/933\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/media\/935"}],"wp:attachment":[{"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/media?parent=933"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/categories?post=933"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/tags?post=933"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}